Norma iso 27001
Páginas: 50 (12401 palabras)
Publicado: 17 de junio de 2010
0 Introducción
0.1 General
Esta norma ha sido preparada para servir de modelo para establecer, implementar, operar,
monitorear, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI). El
adopción de un SGSI debe ser una decisión estratégica para una organización. El diseño e implementación de un
organización?? s SGSI es influenciado por sus necesidadesy objetivos, requisitos de seguridad, los procesos
empleados y el tamaño y la estructura de la organización. Estos y sus sistemas de apoyo se espera que
cambiar con el tiempo. Se espera que una aplicación SGSI, se incrementarán de acuerdo con las necesidades de
la organización, por ejemplo, una situación simple requiere una solución sencilla SGSI.
Esta Norma Internacional puede serutilizado para evaluar la conformidad de interés internos y externos
las partes.
0.2 Enfoque basado en procesos
Esta Norma Internacional promueve la adopción de un enfoque basado en procesos para establecer, implementar,
operar, monitorear, revisar, mantener y mejorar el SGSI de una organización.
Una organización necesita identificar y gestionar numerosas actividades con el fin de funcionarcon eficacia. Cualquier actividad mediante
recursos y gestión con el fin de permitir la transformación de insumos en productos puede ser considerada como una
proceso. A menudo el resultado de un proceso de formularios directamente la entrada del siguiente proceso.
La aplicación de un sistema de procesos dentro de una organización, junto con la identificación y
interacciones de estosprocesos, y su gestión, puede ser referido como un?? enfoque basado en procesos??.
El enfoque de procesos para la gestión de seguridad de la información presentada en esta Norma Internacional
anima a sus usuarios hacer hincapié en la importancia de:
a) comprensión de una organización?? s requisitos de seguridad de la información y la necesidad de establecer políticas y
objetivos de seguridad dela información;
b) la aplicación y los controles de operación para gestionar los riesgos de una organización de seguridad de información en el contexto
de la organización?? s los riesgos globales de las empresas;
c) el seguimiento y revisar los resultados y la eficacia del SGSI, y
d) la mejora continua basada en mediciones objetivas.
Esta Norma Internacional adopta el"Plan-Do-Check-Act" (PDCA) modelo de proceso, que se aplica a
estructura de todos los procesos de SGSI. La figura 1 ilustra cómo un SGSI toma como entrada de seguridad de la información
requisitos y expectativas de las partes interesadas y con las acciones y procesos necesarios
produce resultados seguridad de la información que cumpla con los requerimientos y expectativas. La Figura 1 también
ilustra losvínculos de los procesos presentados en las cláusulas 4, 5, 6, 7 y 8.
La adopción del modelo PDCA también reflejarán los principios establecidos en las Directrices de la OCDE (2002) 1)
que rigen la seguridad de los sistemas de información y redes. Esta Norma Internacional proporciona una robusta
modelo para la aplicación de los principios que rigen en esas directrices de evaluación deriesgos, de seguridad y la
aplicación, gestión de la seguridad y la reevaluación.
EJEMPLO 1
Un requisito podría ser que las infracciones de seguridad de la información no causará un grave perjuicio económico a un
organización y / o causar vergüenza a la organización.
EJEMPLO 2
La expectativa podría ser que si se produce un incidente grave Â-tal vez la piratería de los negocios electrónicos deuna organizationÂ
Sitio Web Â-no debe haber personas con una formación suficiente en los procedimientos apropiados para minimizar el impacto.
Plan (establecer el SGSI) Establecer la política de SGSI, objetivos, procesos y procedimientos pertinentes para
gestión del riesgo y la mejora de seguridad de la información para obtener resultados en
conformidad con las políticas generales de un...
0.1 General
Esta norma ha sido preparada para servir de modelo para establecer, implementar, operar,
monitorear, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI). El
adopción de un SGSI debe ser una decisión estratégica para una organización. El diseño e implementación de un
organización?? s SGSI es influenciado por sus necesidadesy objetivos, requisitos de seguridad, los procesos
empleados y el tamaño y la estructura de la organización. Estos y sus sistemas de apoyo se espera que
cambiar con el tiempo. Se espera que una aplicación SGSI, se incrementarán de acuerdo con las necesidades de
la organización, por ejemplo, una situación simple requiere una solución sencilla SGSI.
Esta Norma Internacional puede serutilizado para evaluar la conformidad de interés internos y externos
las partes.
0.2 Enfoque basado en procesos
Esta Norma Internacional promueve la adopción de un enfoque basado en procesos para establecer, implementar,
operar, monitorear, revisar, mantener y mejorar el SGSI de una organización.
Una organización necesita identificar y gestionar numerosas actividades con el fin de funcionarcon eficacia. Cualquier actividad mediante
recursos y gestión con el fin de permitir la transformación de insumos en productos puede ser considerada como una
proceso. A menudo el resultado de un proceso de formularios directamente la entrada del siguiente proceso.
La aplicación de un sistema de procesos dentro de una organización, junto con la identificación y
interacciones de estosprocesos, y su gestión, puede ser referido como un?? enfoque basado en procesos??.
El enfoque de procesos para la gestión de seguridad de la información presentada en esta Norma Internacional
anima a sus usuarios hacer hincapié en la importancia de:
a) comprensión de una organización?? s requisitos de seguridad de la información y la necesidad de establecer políticas y
objetivos de seguridad dela información;
b) la aplicación y los controles de operación para gestionar los riesgos de una organización de seguridad de información en el contexto
de la organización?? s los riesgos globales de las empresas;
c) el seguimiento y revisar los resultados y la eficacia del SGSI, y
d) la mejora continua basada en mediciones objetivas.
Esta Norma Internacional adopta el"Plan-Do-Check-Act" (PDCA) modelo de proceso, que se aplica a
estructura de todos los procesos de SGSI. La figura 1 ilustra cómo un SGSI toma como entrada de seguridad de la información
requisitos y expectativas de las partes interesadas y con las acciones y procesos necesarios
produce resultados seguridad de la información que cumpla con los requerimientos y expectativas. La Figura 1 también
ilustra losvínculos de los procesos presentados en las cláusulas 4, 5, 6, 7 y 8.
La adopción del modelo PDCA también reflejarán los principios establecidos en las Directrices de la OCDE (2002) 1)
que rigen la seguridad de los sistemas de información y redes. Esta Norma Internacional proporciona una robusta
modelo para la aplicación de los principios que rigen en esas directrices de evaluación deriesgos, de seguridad y la
aplicación, gestión de la seguridad y la reevaluación.
EJEMPLO 1
Un requisito podría ser que las infracciones de seguridad de la información no causará un grave perjuicio económico a un
organización y / o causar vergüenza a la organización.
EJEMPLO 2
La expectativa podría ser que si se produce un incidente grave Â-tal vez la piratería de los negocios electrónicos deuna organizationÂ
Sitio Web Â-no debe haber personas con una formación suficiente en los procedimientos apropiados para minimizar el impacto.
Plan (establecer el SGSI) Establecer la política de SGSI, objetivos, procesos y procedimientos pertinentes para
gestión del riesgo y la mejora de seguridad de la información para obtener resultados en
conformidad con las políticas generales de un...
Leer documento completo
Regístrate para leer el documento completo.